4
Win2k Server SP4Free und unsichtbare ftp-Verzeichnisse
Ordner und Dateien mit der Zeichenkette ftp sind unsichtbar bzw. werden versteckt
Hallo zusammen,
ich habe hier einen Windows 2000 Server mit SP4 und allen aktuellen Patches, auf dem unter anderem der IIS installiert ist. Hautpsächlich wird dieser Server zum Austausch von Info-Daten per FTP verwendet (Anonymous natürlich deaktiviert; Basisverzeichnis d:\ftproot). Seit heute Vormittag jedoch geht gar nichts mehr: Verzeichnisse und Dateien, die die Zeichenfolge "ftp" beinhalten, werden nicht mehr angezeigt. Ich kann z.B. ein Verzeichnis "temp" anlegen und es ist ohne Probleme sichtbar. Sobald ich dieses Verzeichnis umbenenne in "irgendftpwas" verschwindet es spurlos (bzw. wird versteckt). Ein Versuch das Verzeichnis erneut anzulegen wird mit "existiert schon" quittiert.
Nun habe ich hier schon einige Beiträge gefunden, bei denen etwas ähnliches durch Root-Kits aufgetreten ist. Nachdem ich nun bis eben mit BlackLight und Konsorten zumindest soweit gekommen bin, dass ich sehe, dass die Verzeichnisse zwar vorhanden sind, aber vor der Windows-API versteckt werden, hänge ich fest.
Mit BL hatte ich es auch kurzzeitig schon mal so weit, dass mir das Verzeichnis "ftproot" (das ist das Wichtigste) angezeigt wurde. Nach einem Neustart des Servers war es aber wieder verschwunden und das Spiel ging von vorne los.
Ich habe keine Idee, was ich nun noch machen soll... Weiss jemand von Euch einen Rat?
Vielen Dank und viele Grüße
Levy
ich habe hier einen Windows 2000 Server mit SP4 und allen aktuellen Patches, auf dem unter anderem der IIS installiert ist. Hautpsächlich wird dieser Server zum Austausch von Info-Daten per FTP verwendet (Anonymous natürlich deaktiviert; Basisverzeichnis d:\ftproot). Seit heute Vormittag jedoch geht gar nichts mehr: Verzeichnisse und Dateien, die die Zeichenfolge "ftp" beinhalten, werden nicht mehr angezeigt. Ich kann z.B. ein Verzeichnis "temp" anlegen und es ist ohne Probleme sichtbar. Sobald ich dieses Verzeichnis umbenenne in "irgendftpwas" verschwindet es spurlos (bzw. wird versteckt). Ein Versuch das Verzeichnis erneut anzulegen wird mit "existiert schon" quittiert.
Nun habe ich hier schon einige Beiträge gefunden, bei denen etwas ähnliches durch Root-Kits aufgetreten ist. Nachdem ich nun bis eben mit BlackLight und Konsorten zumindest soweit gekommen bin, dass ich sehe, dass die Verzeichnisse zwar vorhanden sind, aber vor der Windows-API versteckt werden, hänge ich fest.
Mit BL hatte ich es auch kurzzeitig schon mal so weit, dass mir das Verzeichnis "ftproot" (das ist das Wichtigste) angezeigt wurde. Nach einem Neustart des Servers war es aber wieder verschwunden und das Spiel ging von vorne los.
Ich habe keine Idee, was ich nun noch machen soll... Weiss jemand von Euch einen Rat?
Vielen Dank und viele Grüße
Levy
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 38543
Url: https://administrator.de/contentid/38543
Printed on: April 20, 2024 at 14:04 o'clock
4 Comments
Latest comment
So, wenn Du schon ma weißt, daß Dein Server von einem Rootkit befallen ist, hast Du die Möglichkeit, das Ding ausfindig zu machen.
Die Registry solltest Du nicht mit regedit, sondern mit regedt32 durchsuchen, dann sollte auch da alles korrekt angezeigt werden.
Im allgemeinen sind Rootkits eben durch ihr auffälliges Verhalten sehr schnell zu identifizieren.
Nutz' mal HiJackThis, um einen Scan des aktuellen Speichers zu haben, vielleicht findest Du da was außergewöhnliches; kannst auch das Logfile hier posten.
Des Weiteren, scan die Registry wie oben genannt, nach ftp; sollte auch was ausspucken.
Lonesome Walker
PS: Wo ist gnarff, wenn man ihn braucht; ich bin mir sicher, er weiß wahrscheinlich sogar den exakten Namen des Rootkits!
Die Registry solltest Du nicht mit regedit, sondern mit regedt32 durchsuchen, dann sollte auch da alles korrekt angezeigt werden.
Im allgemeinen sind Rootkits eben durch ihr auffälliges Verhalten sehr schnell zu identifizieren.
Nutz' mal HiJackThis, um einen Scan des aktuellen Speichers zu haben, vielleicht findest Du da was außergewöhnliches; kannst auch das Logfile hier posten.
Des Weiteren, scan die Registry wie oben genannt, nach ftp; sollte auch was ausspucken.
Lonesome Walker
PS: Wo ist gnarff, wenn man ihn braucht; ich bin mir sicher, er weiß wahrscheinlich sogar den exakten Namen des Rootkits!
Hallo Lonesome,
erstmal vielen Dank für Deine Antwort. Ganz so sicher bin ich mir da nicht, dass es ein Rootkit ist. Die Registry habe ich gerade mal mit Regedt32 durchforstet, aber außer der Standard-Einträge für ftp (also unter Protocol etc.) nichts gefunden. Hier mal das Log von HijackThis:
--- Schnipp ---
Logfile of HijackThis v1.99.1
Scan saved at 10:27:49, on 23.08.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Trend\SProtect\SpntSvc.exe
C:\Programme\Trend\SProtect\StWatchDog.exe
C:\Programme\Trend\SProtect\StOPP.exe
C:\Programme\Trend\SProtect\EarthAgent.exe
C:\WINNT\System32\svchost.exe
c:\PROGRA~1\HPS\EHT\Program\hpsmcsvc.exe
c:\PROGRA~1\HPS\EHT\Program\CONSOLEAGENT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\wmiprvse.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\wupdmngr.exe
C:\Programme\VMware\VMware Tools\VMwareService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.exe
C:\Programme\VMware\VMware Tools\VMwareTray.exe
C:\Programme\VMware\VMware Tools\VMwareUser.exe
C:\Programme\WinCMD\TOTALCMD.EXE
C:\Temp\HijackThis.exe
F2 - REG:system.ini: Shell=Explorer.exe SMCardSrv.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [VMware Tools] C:\Programme\VMware\VMware Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Programme\VMware\VMware Tools\VMwareUser.exe
O4 - HKCU\..\Run: [AlarmWiz] C:\Programme\AlarmWiz\alarmwiz.exe startup
O4 - Global Startup: AboutTime.lnk = C:\Programme\AboutTime\AboutTime.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/w ...
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8D1F6E9-AE35-4534-83D0-8540C69ACE81}: NameServer = 212.121.128.1,212.121.130.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4E9A2FD-8F8D-4486-A2F8-5862847C0937}: NameServer = 212.121.128.1,212.121.128.2,212.121.130.5,217.110.35.35
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Trend ServerProtect Agent (EarthAgent) - Trend Micro Inc. - C:\Programme\Trend\SProtect\EarthAgent.exe
O23 - Service: Persits Software Email Agent (EmailAgent) - Persits Software, Inc. - C:\PROGRA~1\PERSIT~1\AspEmail\EMAILA~1\BIN\EMAILA~1.EXE
O23 - Service: Attachmate HPS Management Console Agent (HPSMCSRVC) - Unknown owner - c:\PROGRA~1\HPS\EHT\Program\hpsmcsvc.exe
O23 - Service: Microsoft DCOM PC Service (mspcdcom) - Unknown owner - C:\WINNT\System32\mspcdcom.exe (file missing)
O23 - Service: NetOp Helper ver. 7.60 (2003246) (NetOp Host for NT Service) - Danware Data A/S - C:\Programme\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: Resultant Set of Policy Provider (rspp) - Unknown owner - cmd /c start C:\WINNT\system32\wmiprvse.exe (file missing)
O23 - Service: Trend ServerProtect (SpntSvc) - Trend Micro Inc. - C:\Programme\Trend\SProtect\SpntSvc.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Programme\VMware\VMware Tools\VMwareService.exe
O23 - Service: Windows Product Activation (wpa) - Unknown owner - C:\WINNT\system32\wpa.exe (file missing)
--- Schnapp ---
Zu erwähnen wäre noch, dass es sich um einen virtuellen Server handelt, der auf einer ESX-Linux-Maschine läuft. Zusätzlich installiert sind lediglich ServerProtect und das Host Publishing System von Attachmate. In dem Log sieht doch eigentlich auch alles normal aus, oder?
Ciao,
Levy
erstmal vielen Dank für Deine Antwort. Ganz so sicher bin ich mir da nicht, dass es ein Rootkit ist. Die Registry habe ich gerade mal mit Regedt32 durchforstet, aber außer der Standard-Einträge für ftp (also unter Protocol etc.) nichts gefunden. Hier mal das Log von HijackThis:
--- Schnipp ---
Logfile of HijackThis v1.99.1
Scan saved at 10:27:49, on 23.08.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Trend\SProtect\SpntSvc.exe
C:\Programme\Trend\SProtect\StWatchDog.exe
C:\Programme\Trend\SProtect\StOPP.exe
C:\Programme\Trend\SProtect\EarthAgent.exe
C:\WINNT\System32\svchost.exe
c:\PROGRA~1\HPS\EHT\Program\hpsmcsvc.exe
c:\PROGRA~1\HPS\EHT\Program\CONSOLEAGENT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\wmiprvse.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\wupdmngr.exe
C:\Programme\VMware\VMware Tools\VMwareService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.exe
C:\Programme\VMware\VMware Tools\VMwareTray.exe
C:\Programme\VMware\VMware Tools\VMwareUser.exe
C:\Programme\WinCMD\TOTALCMD.EXE
C:\Temp\HijackThis.exe
F2 - REG:system.ini: Shell=Explorer.exe SMCardSrv.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [VMware Tools] C:\Programme\VMware\VMware Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Programme\VMware\VMware Tools\VMwareUser.exe
O4 - HKCU\..\Run: [AlarmWiz] C:\Programme\AlarmWiz\alarmwiz.exe startup
O4 - Global Startup: AboutTime.lnk = C:\Programme\AboutTime\AboutTime.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/w ...
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8D1F6E9-AE35-4534-83D0-8540C69ACE81}: NameServer = 212.121.128.1,212.121.130.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4E9A2FD-8F8D-4486-A2F8-5862847C0937}: NameServer = 212.121.128.1,212.121.128.2,212.121.130.5,217.110.35.35
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Trend ServerProtect Agent (EarthAgent) - Trend Micro Inc. - C:\Programme\Trend\SProtect\EarthAgent.exe
O23 - Service: Persits Software Email Agent (EmailAgent) - Persits Software, Inc. - C:\PROGRA~1\PERSIT~1\AspEmail\EMAILA~1\BIN\EMAILA~1.EXE
O23 - Service: Attachmate HPS Management Console Agent (HPSMCSRVC) - Unknown owner - c:\PROGRA~1\HPS\EHT\Program\hpsmcsvc.exe
O23 - Service: Microsoft DCOM PC Service (mspcdcom) - Unknown owner - C:\WINNT\System32\mspcdcom.exe (file missing)
O23 - Service: NetOp Helper ver. 7.60 (2003246) (NetOp Host for NT Service) - Danware Data A/S - C:\Programme\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: Resultant Set of Policy Provider (rspp) - Unknown owner - cmd /c start C:\WINNT\system32\wmiprvse.exe (file missing)
O23 - Service: Trend ServerProtect (SpntSvc) - Trend Micro Inc. - C:\Programme\Trend\SProtect\SpntSvc.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Programme\VMware\VMware Tools\VMwareService.exe
O23 - Service: Windows Product Activation (wpa) - Unknown owner - C:\WINNT\system32\wpa.exe (file missing)
--- Schnapp ---
Zu erwähnen wäre noch, dass es sich um einen virtuellen Server handelt, der auf einer ESX-Linux-Maschine läuft. Zusätzlich installiert sind lediglich ServerProtect und das Host Publishing System von Attachmate. In dem Log sieht doch eigentlich auch alles normal aus, oder?
Ciao,
Levy
Poste mal Dein Logfile hier rein:
http://www.hijackthis.de
Dann wirst Du schon sehen...
(speziell: C:\WINNT\System32\wupdmngr.exe )
Lonesome Walker
http://www.hijackthis.de
Dann wirst Du schon sehen...
(speziell: C:\WINNT\System32\wupdmngr.exe )
Lonesome Walker
Ah, habe ganz vergessen *peinlich*:
http://www.f-secure.de/blacklight/
Das solltest Du auch mal drübergucken lassen...
Lonesome Walker
http://www.f-secure.de/blacklight/
Das solltest Du auch mal drübergucken lassen...
Lonesome Walker
